働き方改革などで、在宅、カフェ、コワーキングスペースなどでの仕事が徐々に浸透してきました。それに伴い、シャドーITという課題が浮き彫りになってきています。シャドーITというなかなか聞きなれない言葉ですが、情報漏えいなど被害が出ており企業にとっても大きな脅威となります。今回はシャドーITについてご説明いたします。
目次
シャドーITとは?
シャドーITとは、会社の許可を得ずに個人のスマホやパソコンで業務などを行うことです。
個人スマホやパソコンですので、業務以外にもSNS、ゲーム、チャットツールなど様々なアプリがインストールされていますので、気を許してしまったすきに情報漏えいなどのリスクにもなります。
近年、個人のIT端末の利用は便利な半面、企業にとっては大きな驚異にもなります。
そこで今回は、シャドーITの主な対策と取り組みについて考えていきます。
そもそも、シャドーITは何がどう問題になるのか?
個人向けサービスの利用と業務が混在することの情報漏えい
例えば、LINEやFacebookなどのチャットアプリや、個人で利用しているGoogleアカウントなど個人向けサービスは無料で使い勝手もいいのでほとんどのスマホに入っていると言っても過言ではありません。
しかし、これらのサービスはビジネスで扱うデータも漏洩していまう可能性があります。
例えば、LINEで取引先と話をしてしまったり、ファイルを送信してしまったり。
通常の利用ではリスクが無いようにも思えますが、スマホの紛失やなりすましなどでデータが第三者に漏れてしまうこともあります。
他の例では、退職した社員のスマホに企業の情報ややり取りが残ったままデータが外部に渡ってしまう可能性もあります。
フリーWi-Fi接続によるリスク
公共のフリーWi-Fiは誰でも簡単に接続できる便利なサービスです。
これも一見すると問題ないようにも見えますが、セキュリティ上問題が多くあります。
いつものようにカフェのWi-Fiを利用していたとしても、実はことなるネットワークに接続されているかもしれません。
実は、Wi-FiのSSIDは同じものを誰でも作ることができますし、オープンにしておけば勝手にスマホが接続してしまいます。
悪意を持った第三者から盗聴や情報の抜き取りなおといった被害も発生してしまいます。
シャドーITへの対策は?
ここからは具体的にシャドーITへの対応策を3点に考察していきます。
1 社内教育
何より一番のリスクを持っている社員たちが、危ない行為をしているという事実を教育することが大切です。
できれば全社員が教育を受け、実践していくことを目指して欲しいです。
「社内で教育すべき項目」
- 機密情報、個人情報は個人PC・モバイルに格納しない
- 会社で許可していない個人端末・サービスで機密情報の送受信はしない
- 推測されにくいパスワードを設定する
- バックアップをこまめに行い、バックアップデータは適切な場所に保管する
- 情報漏えいが発生した場合は速やかに報告する
- 会社の指定したウイルス対策ソフトをインストールし、常に最新のものに更新しておく
- 不審なホームページはできる限り閲覧しない
教育に関しては誤った知識を広げない為に、外部の講師を招いたり、IT機器提供会社や、コンサルを招く、またはeラーニングを利用していくことをオススメします。
2 法人向けクラウドサービスの導入
シャドーITをしてしまう理由として、会社で使うITツールが古いことも一つの原因です。
ファイルは、事務所におき型のファイルサーバーのみ、連絡手段はメール、会社に行かな無いと稟議が通らないなどといった理由です。
その点、個人向けサービスは簡単にコミュニケーションが取れたり、ファイル共有ができてしまいます。
シャドーITを未然に防ぐ手段として、使い勝手が良くセキュリティ対策が徹底された法人向けクラウドサービスを導入するという方法が挙げられます。
外部のサービスを使ってしまうのは、作業効率の向上や利便性を求めてのことです。
それならば、ファイル共有やチャットなどの必要な機能を社内インフラとして整備してしまえば、セキュリティが確保されていない外部サービスを利用するよりもはるかに安全に、情報共有や連絡ができるようになります。
3 クラウドセキュリティの導入
クラウドやモバイルデバイスの利用を可視化・把握できる「CASB(キャスビー)」を導入し、セキュリティを向上させるという方法もあります。
CASBとは、「ユーザーのクラウドサービスの利用状況を把握するソリューション」のことです。
「誰が」「どのデバイスで」「どのクラウドサービスに」「どのデータを操作したか」を明確にし、一括で把握できます。
これによって、従業員のクラウドサービスの利用状況を監視し、把握されていないクラウドサービス利用を洗い出してセキュリティポリシー違反を取り締まることができます。
シャドーITを検知できるようになります。
まとめ
シャドーITは企業にとって新たな脅威になります。
いくらウイルス対策をしていたとしても、情報漏えいの原因が社内にあっては困ります。
しかし、シャドーITの行為をしてしまう理由も企業側にあるのでその点を理解しましょう。
社内インフラの整備や個人の意識改善、危険性に関する情報共有によって確実に防げるものでもあります。
社員への教育を徹底し、社内全体のITリテラシーを向上させていきたいものです。
★こちらの記事もおすすめ→【ネットカフェにあるパソコンのセキュリティについて】